Wenn Benutzer aus unsicheren Netz­werken (primär über das Internet) auf eine Remote-Desktop-Bereit­stellung zu­greifen möchten, dann schaltet man ein RD Gateway da­zwischen. Die mit Windows Server 2012 einge­führte Szenario-basierte RDS-Installation verein­facht auch die Ein­richtung des Gateways.

Im neuen Exchange Online Portal (erreichbar unter admin.exchange.microsoft.com) gibt es eine Funktion, mit der Admini­stratoren ge­löschte Objekte für einen Be­nutzer wieder­her­stellen können. Dazu muss man ihnen erst die benötigte Berech­tigung er­teilen. Der Restore er­folgt dann über die neue GUI.

Die vSphere Trust Authority (vTA) bestätigt die Vertrauens­würdigkeit von ESXi-Hosts, welche dann krypto­grafische Operationen ausführen können. Die Infrastruktur besteht aus vTA- und vertrauens­würdigen Clustern sowie einem externen KMIP-Server. Auf den ESXi-Hosts laufen zudem mehrere Dienste für vTA.

Windows Virtual Desktop (WVD) stellt Terminal-Sessions und virtu­elle Desktops über Azure bereit. Das Setup ist zwar nicht so auf­wändig wie bei den On-Prem-RDS, basierte bis­her aber weit­gehend auf PowerShell. Seit Juli bietet WVD eine durch­gängige Konfiguration im Azure Portal sowie mehrere neue Features.

Mit aktuell 79 Cmdlets erlaubt es das Modul Remote­Desktop, die Funk­tionen aller RDS-Rollen mit Power­Shell zu instal­lieren und zu konfi­gurieren. Während es unter Windows Server standard­mäßig an Bord ist, muss man es unter Windows 10 als Bestand­teil der RSAT hinzu­fügen, bevor­zugt mit Power­Shell.

Wenn Unter­nehmen bei einer hybriden Konfi­guration bestehend aus einem lokalem AD und Azure AD die Passwort-Hashes nicht in die Cloud über­tragen möchten, dann können sie für die Authenti­fizierung ADFS dazwischen­schalten. Ein Kompromiss wäre, nur die Kenn­wörter be­stimmter User mit AAD Connect abzu­gleichen.

Drei Monate nach der Freigabe des jüngsten Releases von Windows 10 veröffent­lichte Microsoft nun die end­gültige Version der Securiy Baseline. Von den neuen GPO-Einstel­lungen für die Version 2004 sollten zwei in Betracht gezogen werden, keine kommt aber in die Base­line und eine wird daraus entfernt.

DHCP-Server sind in den meisten Umgebungen eine kritische Kompo­nente der Infra­struktur. Neben einem Moni­toring, das die grund­sätzliche Verfüg­barkeit des Dienstes sicher­stellt, kann man auch den Status der IP-Bereiche (Scopes) oder Leases abrufen. Power­Shell bietet für diesen Zweck mehrere Cmdlets.

Neben der Kubernetes-Integration ist Security ein Schwer­punkt von vSphere 7. Zu den Neu­heiten gehört dabei die vSphere Trust Authority (vTA), welche die ESXi-Infra­struktur schützen soll. Sie be­nötigt einen ver­trauens­würdigen Ver­waltungs-Cluster, der einen Be­stätigungs­dienst für die pro­duk­tiven Hosts ausführt.

Das Remote Desktop Gateway dient dazu, den Zugriff auf interne Remote-Desktop-Dienste aus nicht vertrauens­würdigen Netz­werken abzu­sichern. Dafür bieten sich mehrere Optionen für seine Platzierung im Netz­werk an. Ein weiteres Kriterium besteht darin, ob und wie man ein RD Gateway mit dem AD integriert.